脆弱なプラグインを使用している可能性のある数千の WordPress サイト: サイトを安全に保つ方法は次のとおりです
公開: 2024-05-062024年3月、WordPressプラグインWordPressAutomaticに重大な脆弱性が発見されました。 Code Canyon マーケットプレイスで入手可能な WordPress Automatic は、記事、ビデオ、製品、画像、その他の種類のコンテンツを外部ソースから取得し、そのコンテンツを Web サイトに自動的に再公開する自動コンテンツ スクレーパーです。
調査会社 Patchstack がこの脆弱性を発見したため、悪意のある攻撃者が SQL インジェクション攻撃を使用して脆弱な Web サイトを完全に制御できるようになりました。 VAPE ショップから個人ブログに至るまで、あらゆる種類の Web サイトが、パッチが適用されていないバージョンのプラグインを使用している場合、攻撃に対して脆弱でした。
プラグインにはすぐにパッチが適用されましたが、一部の Web サイト所有者は問題の深刻さを認識していなかったためにパッチをインストールしませんでした。 WordPress 自動プラグインに関する最近のユーザー レビューによると、この脆弱性により少なくともいくつかの Web サイトが完全に失われていることが示唆されています。
ハッキングの影響を完全に受けない Web サイトは存在せず、世界中の Web サイトの約 43% を支えている WordPress は、悪意のある攻撃者の優先的な標的となっています。
ただし、良いニュースがあります。Web サイトがハッキングされる場合、通常、それはハッカーがそのサイトを特に標的にしたからではありません。 多くの場合、自動スキャナーの使用によって発見された脆弱な WordPress テーマやプラグインを実行している Web サイトがハッキングされます。
言い換えれば、スキャナーで簡単に発見でき、自動化された手段で悪用できるような既知の脆弱性がサイトに存在しない場合、通常、ハッカーは先に進むでしょう。
それを念頭に置いて、いくつかの常識的なセキュリティ慣行に従うだけで、WordPress サイトを非常に安全に保つことができます。 このガイドでは、安全でないプラグインがサイトの早期終了を引き起こすリスクを最小限に抑えるために何をする必要があるかを正確に説明します。
テーマとプラグインをすぐに更新する
WordPress にログインすると、サイトのテーマやプラグインの更新が利用可能かどうかをサイドバーに常に通知が表示されます。 場合によっては、プラグインの更新が保留されていると、ページの上部にメッセージが表示されることもあります。 サイトに多数のプラグインがある場合、ログインするたびにほぼ毎回更新通知が表示され、それらの更新のダウンロードとインストールが先延ばしになる場合があります。 ただし、アップデートに重大なセキュリティ問題の修正がいつ含まれるかわからないため、これは危険を承知で行ってください。
WordPress 自動プラグインは、作成者にセキュリティ上の欠陥が通知されるとすぐに更新されました。 しかし、伝えられるところによると、秘密保持契約により、Patchstack によってその欠陥が公表されるまで、プラグインの作成者はこの欠陥について議論することができませんでした。 そのため、一部のユーザーはアップデートを無視しました。
サイトとデータベースの完全なバックアップを維持する
Web ホストが Web サイトとデータベースの全自動バックアップを提供することが一般的になりつつあり、これはセキュリティ上非常に優れています。 Web サイトがハッキングされた場合、バックアップがあれば、場合によってはワンクリックでサイトを以前の状態に復元できることになります。 ホストがこのサービスを提供していない場合は、いくつかの WordPress プラグインが代わりに機能します。 ただし、いくつかの異なる時点からのバックアップのライブラリを維持することが重要です。 Web サイトがハッキングされた場合、それに気づくまでにしばらく時間がかかる場合があります。
セキュリティプラグインの実行を検討する
Web サイトがビジネスである場合、何らかのセキュリティ ソリューションを導入しない理由はありません。 セキュリティ プラグインは、アクセス試行を自動的に監視し、悪意があると思われるユーザーをブロックできます。 一部のコンテンツ配信ネットワークでもこのサービスを提供しています。 セキュリティ プラグインは、サイトのファイルと生のコードを監視し、予期せぬ変更があった場合に通知することもできます。 新しいファイルが突然サーバーに表示され始めた場合は、サイトがハッキングされている可能性があります。
信頼できるソースからテーマとプラグインを入手する
WordPress リポジトリは、サイトのテーマとプラグインを見つけるのに常に最も信頼できる場所です。 WordPress.org Web サイト上のすべては無料でオープンソースであるため、そこにあるすべてのプラグインとテーマは、WordPress ボランティアの非常に大規模なコミュニティによって監視されています。 ただし、多くの場合、無料のテーマやプラグインでは利用できない機能が必要になる可能性があり、その場合はプレミアム ソフトウェアの料金を支払う必要があります。 誰かがコードを監査し、安全であると宣言していることを確認してください。
使用しないテーマとプラグインを削除する
WordPress Web サイトにインストールされているすべてのテーマとすべてのプラグインは、潜在的なセキュリティ ホールとして扱う必要があります。それはまさにハッカーが行っていることだからです。ハッカーは常に存在する WordPress コードを隅々まで精査し、悪用できる脆弱性を探しています。 サイトからテーマやプラグインを削除するたびに、潜在的な侵入ポイントが排除されることになります。 サイトのプラグインとテーマを確認し、使用していないものをすべて削除します。 また、アクティブなプラグインを調べて、それらがすべて本当に必要であることを確認することもお勧めします。
放棄されたプラグインの代替品を探す
特定のプラグインの更新通知を最後に見てからしばらく経ちましたか? その場合は、プラグインの変更ログを確認して、最後に更新されたのがいつかを確認するとよいでしょう。 プラグインの機能が非常に単純でない限り、1 年以上更新されていない場合は、作成者によって放棄されたと考えるべきです。 この場合、同じ機能を提供し、現在も積極的に更新されているプラグインを検索する必要があります。 セキュリティ ホールは、発見されるまでに長い間古いプラグインに潜んでいる可能性があり、ホールのあるプラグインが作成者によって更新されなくなった場合、脆弱性は修正されません。
開発者を雇って古いプラグインとテーマを監査する
Web サイトに、開発者によって放棄され、更新されなくなったミッションクリティカルなプラグインがあるとします。 その場合、プラグインが安全で脆弱性がないことを確認するのは自分自身です。 この場合、開発者を雇って、その人にプラグインを監査してもらうのは非常に良いアイデアです。 プラグインのメンテナンスは、代替品が見つかるまで継続的に費用がかかる可能性があります。